多措并举 安全防护
信息安全以业务应用系统和计算机网络的安全防护为主。其中,计算机网络的安全防护是对外部入侵和内部泄漏的最底层的硬防护,只有合理部署,才能达到较高的安全防护水平。根据网络传输OSI七层模型,采取多种防护措施,以最常见的方式达到较高的安全防护水平是企业网络构建的目标,安全防护以国产设备为首选。
1.分区控制,信息隔离
生产控制区为最高安全级别的区域。该区与上级调度系统通过防火墙和纵向加密装置通信,与管理信息系统通过单向传输装置与管理信息网络相连。
网络结构图
服务器区为信息安全的重点防护区。链路上除串接单独的防火墙外,还通过服务交换机的上联口做镜像,接入入侵检测设备。
内部网一区和内部网二区通过VPN、防火墙隔离,为终端用户的接入区域。一区为可以直接访问内部信息系统服务器的企业员工用户,二区为协作单位用户,可以通过VPN访问相关信息。
2.监控上网,网关杀毒
置于互联网接入端的上网行为管理设备是信息安全的第一道防线。以网关模式布置,串接于出口链路中的上网行为管理设备,实现对互联网访问行为的全面管理。
部分上网行为管理设备还集成网关杀毒功能。基于应用类型、网站类别、文件类型、用户/用户组、时间段等的管理设备,对企业内部网络用户上网行为的记录和审计、带宽的分配、病毒木马的过滤等,有效防止内网泄密、过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入。通过带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,甚至完全封堵与工作无关的应用。同时,利用上网行为管理通知和日志,及时把使用中的主动泄密、被动泄密行为,做到事前防范、事中告警、事后追踪等多方面防范泄密,保护企业信息资产安全,降低网络风险,并满足公安机关对企业网络行为记录的相关要求,规避可能的法律风险。
3.双层防护,过滤拦截
防火墙是保护内部网免受非法用户侵入的基本设备,通过设置防火墙的服务访问规则、验证工具、包过滤和应用网关等,最大限度地阻止网络中的黑客攻击。
内部用户网一区、二区之间主要以应用层的拦截为主,有效隔离木马程序的侵入。结合VPN的应用,可灵活配置二区用户访问内部相关信息,提高外网发布应用服务器的安全性。
服务器区增加一台主要以网络层过滤为主,通过来源IP地址、来源端口号、目的IP地址或端口号、服务类型以及通信协议、TTL值、来源的网域名称或网段等属性进行过滤拦截,进一步加强对服务器的安全防护。
4.单向隔离,镜像查询
生产控制区通过单向传输隔离以轮流传递数据、中断插入事件的方式,发送信息到管理信息实时数据服务器,供相关管理人员查询信息。
生产控制区到管理信息网络的传输数据传输使用电力专用的CDT规约,生产控制区数据线只接发送线,接收数据线完全断开,不可能接收管理信息网络的任何数据,从硬件上保证两个系统的完全隔离,完全符合电力系统二次安全防护的要求,又满足管理用户查询远程实时生产数据需求。
5.隔离用户,增加共享
利用三层交换机VLAN以及二层交换机的端口隔离,有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
用户区所有交换机PC端口均设置隔离,需要共享打印机的部门购置打印服务器接入公共端口,既满足共享打印的需求,又避免网内用户使用嗅探工具、ARP攻击、蠕虫病毒攻击等对其它用户影响,恶意用户无法获得其它用户的通信信息,信息安全风险大幅度降低,同时把广播域划分到最小,提高网络响应速度,有效降低数据流量,延长设备的寿命,特别是低端网络设备使用周期明显增加。
用户端口隔离对个别应用带来影响,如无法满用户间的资源共享足,需增加共享资源服务器,解决无安全管理需求的信息资源交换平台,增加桌面管理系统监控、管理用户资源。
6.在线监控,入侵检测
网络分析仪或网管系统,利用简单网络管理协议(SNMP)去调用交换机的MIB信息库,在线监测每台交换机端口上流量的质量,实施诸如监测交换机端口统计并掌握其趋势的策略以及使用,清晰地掌握交换机的详细情况和端口统计信息,还可根据安全策略直接关闭相应的交换机端口,彻底隔离故障或危险源。
对于重点防护区的服务器区,通过镜像数据进行入侵检测,以便及时发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象,在网络系统受到危害之前拦截和响应入侵,保障数据安全。
7.容灾备份,演练验证
本地备份、异地备份是防止存储设备硬件故障、火灾及自然灾害导致数据损坏的保障措施。在线备份与离线备份相结合,运行维护人员经常演练验证备份数据的完整可用,是信息安全的日常保障工作;关键网络设备的分布式冗余配置,是网络系统容灾的重要组成部分。
责任编辑:黎阳锦
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络
